新たに発見された2つのゼロデイ脆弱性CVE-2026-1281とCVE-2026-1340は、広く導入されているモバイルデバイス管理(MDM)プラットフォームであるIvanti Endpoint Manager Mobile(EPMM)を使用する組織を対象にアクティブに悪用されています。
セキュリティ研究者は、攻撃者が認証、ユーザー操作、または盗まれた認証情報なしに、影響を受けるサーバー上でリモートコード実行が可能であると警告しています。
これらの脆弱性により、リモート攻撃者がMDMインフラストラクチャを完全に制御できます。EPMMは企業のスマートフォン、タブレット、アプリケーション、およびアクセスポリシーを管理しているため、サーバーが侵害されると、攻撃者は企業ネットワークへの直接的な経路を手に入れることになります。
Unit 42の研究者は、攻撃者がすでに実際の侵入で脆弱性を使用していることを報告しました。
観察された活動には、リバースシェルの確立、ウェブシェルの展開、偵察の実施、および追加のマルウェアのダウンロードが含まれます。一部の攻撃者は、パッチが適用された後も生き残るように設計された永続的なバックドアをすぐにインストールします。
このキャンペーンは、米国、ドイツ、オーストラリア、およびカナダ全域の組織に影響を与えました。影響を受けた部門には、政府機関、医療提供者、製造企業、法律および専門サービス、および高度な技術企業が含まれます。
アクティブな悪用に対応して、米国サイバーセキュリティおよびインフラストラクチャセキュリティエージェンシーは、CVE-2026-1281を既知の悪用される脆弱性カタログに追加し、緊急なパッチの必要性を示しています。
CVE-2026-1281は9.8の重大度スコアを持ち、リモートコード実行脆弱性です。この脆弱性は、URLの書き換え用にApacheウェブサーバーで使用されるレガシーbashスクリプトに存在します。
攻撃者はEPMMエンドポイントに特別に細工されたHTTPリクエストを送信し、スクリプトで処理される変数を操作します。bash算術展開として知られるテクニックを通じて、システムは攻撃者が制御する入力をコマンドとして解釈し、サーバー上で実行します。
2番目の脆弱性CVE-2026-1340は、Androidファイル転送機能に影響を与え、別のスクリプトで同様のメカニズムを使用します。どちらの脆弱性も、インターネットに公開されている特定のURLを通じてトリガーできます。
攻撃者は自動化されたスキャナーを使用して脆弱なサーバーを探しています。多くの場合、彼らはまず短い遅延など無害なコマンドを送信して、悪用を確認します。
検証されると、ウェブシェルを含むペイロード、クリプトマイナー、および永続的なアクセスツールをデプロイします。研究者はまた、監視エージェントのダウンロード試行と、侵害されたサーバーをコマンドアンドコントロールインフラストラクチャに接続する試みも観察しました。
Ivantiは2026年1月にセキュリティアップデートをリリースし、顧客に適切なRPMパッチをすぐにインストールするよう促しました。同社は、アップデートはダウンタイムを必要とせず、機能に影響しないと述べました。
セキュリティチームはまた、パッチ適用後のシステムで侵害の兆候を確認することをお勧めします。攻撃者がすでに隠されたアクセスを確立している可能性があるためです。
インターネット上で4,400を超える公開されたEPMMインスタンスが観察されており、攻撃対象が広大であることを示しています。
専門家は、管理インターフェースの分離、外部アクセスの制限、疑わしいリクエストのログ監視、および「侵害を想定した」考え方の採用を推奨しています。
インターネットに接続されたシステムへのパッチ適用を遅延させる組織は、現在ネットワーク侵害の即時かつ重大なリスクに直面しています。
翻訳元: https://cyberpress.org/ivanti-epmm-zero-days-exploited/